Rootkit bò sát

Các tác nhân đe dọa đã được quan sát sử dụng một rootkit mã nguồn mở có tên là Reptile để nhắm mục tiêu vào các hệ thống Linux ở Hàn Quốc. Không giống như phần mềm độc hại rootkit thông thường chủ yếu tập trung vào các hoạt động che giấu, Reptile tiến thêm một bước bằng cách cung cấp chức năng trình bao đảo ngược. Điều này cho phép những kẻ xấu có được quyền kiểm soát trực tiếp đối với các hệ thống bị xâm nhập, do đó khuếch đại khả năng thao túng và khai thác chúng.

Trong bối cảnh này, phần mềm độc hại sử dụng một kỹ thuật gọi là 'gõ cổng'. Điều này liên quan đến việc rootkit mở một cổng cụ thể trên hệ thống bị nhiễm và chờ ở chế độ chờ. Khi nhận được một tín hiệu cụ thể hoặc 'gói ma thuật' từ các tác nhân đe dọa, một kết nối có thể được thiết lập giữa hệ thống bị xâm nhập và máy chủ Command-and-Control (C2, C&C) của hoạt động tấn công. Rootkit là một dạng phần mềm đe dọa được thiết kế có chủ ý để cung cấp quyền truy cập cấp gốc, nâng cao cho một máy đồng thời làm xáo trộn sự hiện diện của nó. Đáng chú ý, Reptile đã được sử dụng trong ít nhất bốn chiến dịch riêng biệt kể từ năm 2022.

Một số chiến dịch có hại đã sử dụng Rootkit bò sát

Vào tháng 5 năm 2022, các nhà nghiên cứu đã ghi lại trường hợp triển khai rootkit đầu tiên của Reptile, được cho là do một nhóm xâm nhập có tên là Earth Berberoka, còn được gọi là GamblingPuppet. Trong quá trình khám phá này, người ta đã tiết lộ rằng rootkit đã được sử dụng để che giấu các kết nối và quy trình được liên kết với một Trojan Python đa nền tảng, được gọi là Pupy RAT . Các cuộc tấn công này chủ yếu nhắm vào các trang web cờ bạc ở Trung Quốc.

Vào tháng 3 năm 2023, một loạt cuộc tấn công đã được dàn dựng bởi một kẻ bị nghi ngờ là mối đe dọa có tên UNC3886, được cho là có liên quan đến Trung Quốc. Các cuộc tấn công này đã tận dụng các lỗ hổng zero-day để phân phối một loạt các bộ cấy tùy chỉnh, cùng với rootkit Reptile.

Trong cùng tháng đó, việc sử dụng phần mềm độc hại dựa trên Linux có tên Mélofée , bắt nguồn từ Reptile, được quy cho một nhóm tin tặc Trung Quốc. Sau đó, vào tháng 6 năm 2023, một chiến dịch tấn công bằng tiền điện tử đã lây nhiễm các thiết bị bằng cửa sau tập lệnh shell để cung cấp Rootkit Reptile, che giấu hiệu quả các quy trình con, tệp và nội dung của chúng như một phần trong hoạt động của nó.

Rootkit bò sát được trang bị một bộ khả năng đe dọa nâng cao

Sau khi phân tích kỹ hơn về Bò sát, một cơ chế đặc biệt xuất hiện: một thành phần bộ tải hoạt động song song với một công cụ có tên là kmatryoshka. Trình tải này chịu trách nhiệm giải mã và tải mô-đun hạt nhân của rootkit vào bộ nhớ của hệ thống. Sau đó, trình tải bắt đầu mở một cổng được chỉ định, chuyển sang trạng thái sẵn sàng để kẻ tấn công gửi tín hiệu đặc biệt, được gọi là gói ma thuật, tới máy chủ bằng các giao thức truyền thông như TCP, UDP hoặc ICMP.

Dữ liệu được gói gọn trong gói ma thuật chứa thông tin quan trọng—địa chỉ của máy chủ C2. Bằng cách sử dụng thông tin này, một trình bao đảo ngược được thiết lập, kết nối với máy chủ C&C. Kỹ thuật kích hoạt các hoạt động độc hại thông qua các gói ma thuật này trước đây đã được ghi nhận trong một rootkit khác có tên là Syslogk. Tương tự như vậy, một kịch bản tấn công tương tự liên quan đến rootkit Reptile đã được phát hiện ở Hàn Quốc. Cuộc tấn công có một số điểm tương đồng về mặt chiến thuật với Mélofée.

Tóm lại, Reptile hoạt động như một phần mềm độc hại rootkit chế độ nhân Linux với chức năng chính là che giấu các tệp, thư mục, quy trình và giao tiếp mạng. Tuy nhiên, nó cũng thể hiện một khả năng đặc biệt: cung cấp lớp vỏ đảo ngược. Đặc điểm bổ sung này làm cho các hệ thống chứa Rootkit Bò sát có khả năng dễ bị tấn công bởi các tác nhân đe dọa.